RSAC
Z perspektywy cyberbezpieczeństwa najgorszy aspekt masowego przechodzenia na pracę zdalną to utrata kontroli nad środowiskami sieci lokalnych w stacjach roboczych. Szczególnie niebezpieczne pod tym względem są routery domowe pracowników, które zasadniczo zastąpiły infrastrukturę sieciową, zwykle będącą pod kontrolą specjalistów IT. Podczas konferencji pt. „RSA Conference 2021” badacze Charl van der Walt i Wicus Ross przedstawili sposoby, za pomocą których cyberprzestępcy mogą zaatakować komputery pracowników za pośrednictwem routerów.
Dlaczego routery domowe pracowników stanowią poważny problem
Nawet jeśli zasady bezpieczeństwa stosowane w firmie obejmują aktualizowanie systemu operacyjnego każdego komputera roboczego i wszystkich innych ustawień, routery domowe są poza kontrolą administratorów systemów w korporacji. Jeśli chodzi o środowiska pracy zdalnej, dział IT nie wie, jakie inne urządzenia są podłączone do sieci, czy oprogramowanie układowe routera jest aktualne i czy chroniące je hasło jest silne (ani czy użytkownik w ogóle zmienił to, które było ustawione jako domyślne).
Jednak ten brak kontroli stanowi zaledwie część problemu. Ogromna liczba routerów domowych i SOHO ma znane luki, które cyberprzestępcy mogą wykorzystać do uzyskania pełnej kontroli nad urządzeniem. W efekcie mogą utworzyć ogromną sieć botnetów złożonych z urządzeń internetu rzeczy (przykładem jest tu botnet Mirai), które mogą składać się z dziesiątek, a czasem nawet setek tysięcy porwanych routerów, i wykorzystywać je do różnych celów.
W związku z tym warto pamiętać, że każdy router jest w istocie małym komputerem i korzysta z jakiejś dystrybucji Linuksa. Za pomocą porwanego routera cyberprzestępcy mogą wiele zdziałać. Oto kilka przykładów, o których opowiedzieli badacze.
Porwanie połączenia sieci VPN
Głównym narzędziem, z którego korzystają firmy, aby zrekompensować niepewne środowiska sieciowe pracowników zdalnych, jest wirtualna sieć prywatna (ang. Virtual Private Network, VPN). Ustanawiają one zaszyfrowany kanał, przez który przemieszczają się dane między komputerem a infrastrukturą korporacyjną.
Wiele firm korzysta z sieci VPN w trybie tunelowania dzielonego, w którym ruch skierowany do serwera firmy, na przykład w połączeniu realizowanym poprzez protokół pulpitu zdalnego (ang. Remote Desktop Protocol, RDP), przechodzi przez sieć VPN, a pozostały przechodzi przez niezaszyfrowaną sieć publiczną — i zwykle nie ma w tym nic złego. Jednak cyberprzestępca kontrolujący router może utworzyć trasę z użyciem protokołu dynamicznego konfigurowania hostów (ang. Dynamic Host Configuration Protocol, DHCP) i przekierować ruch RDP do własnego serwera. Chociaż nie zwiększa to jego szans na odszyfrowanie danych przechodzących poprzez VPN, umożliwia stworzenie fałszywego ekranu logowania, który może posłużyć do przechwycenia danych logowania w połączeniu RDP. Z technologii RDP uwielbiają korzystać oszuści stosujący oprogramowanie ransomware.
Ładowanie zewnętrznego systemu operacyjnego
Kolejny sprytny scenariusz ataku z użyciem porwanego routera polega na wykorzystaniu funkcji uruchamiania na komputerze systemu obcego przy wykorzystaniu interfejsu sieciowego (ang. Preboot Execution Environment, PXE). Nowoczesne karty sieciowe używają środowiska PXE do ładowania na komputerach systemu operacyjnego przez sieć. Zazwyczaj funkcja ta jest wyłączona, ale niektóre firmy używają jej na przykład do zdalnego przywracania systemu operacyjnego pracownika w przypadku awarii.
Cyberprzestępca posiadający kontrolę nad serwerem DHCP na routerze może wprowadzić na karcie sieciowej stacji roboczej adres systemu zmodyfikowany pod kątem zdalnego sterowania. Pracownicy raczej nie zauważą tej zmiany ani nie zorientują się, co naprawdę się dzieje (zwłaszcza jeśli są rozpraszani przez powiadomienia dotyczące instalowania aktualizacji). Tymczasem cyberprzestępcy mają wówczas pełny dostęp do systemu plików.
Jak zachować bezpieczeństwo
Aby chronić komputery pracowników przed opisanymi powyżej i podobnymi rodzajami ataku, należy wykonać następujące kroki:
- Wybierz tunelowanie wymuszone zamiast dzielonego. Wiele korporacyjnych rozwiązań VPN zezwala na tunelowanie wymuszone z wyjątkami (domyślne przekazywanie całego ruchu za pośrednictwem zaszyfrowanego kanału i zezwolenie określonym zasobom na omijanie sieci VPN).
- W ustawieniach BIOS-u wyłącz opcję Preboot Execution Environment.
- Zaszyfruj dysk twardy komputera za pomocą pełnego szyfrowania (np. poprzez funkcję BitLocker w systemie Windows).
Skupienie się na bezpieczeństwie routerów pracowników ma zasadnicze znaczenie w zwiększaniu poziomu bezpieczeństwa infrastruktury korporacyjnej, w której odbywa się praca w trybie zdalnym lub hybrydowym. W niektórych firmach pracownicy pomocy technicznej pomagają innym pracownikom w wybraniu optymalnych ustawień dla ich domowego routera. W innych przedsiębiorstwach pracownicy zdalni otrzymują wstępnie skonfigurowane routery i mogą łączyć się z zasobami firmowymi tylko poprzez te urządzenia. Ponadto bezpieczeństwo sieci zależy w dużej mierze od odpowiedniego przeszkolenia pracowników w zakresie przeciwdziałania współczesnym zagrożeniom.
Porady